Indústria de Cartão de Pagamento (PCI)

Tamanho: px
Começar a partir da página:

Download "Indústria de Cartão de Pagamento (PCI)"

Transcrição

1 Indústria de Cartão de Pagamento (PCI) Procedimentos de Auditoria de Segurança Administração de Risco Região América Latina e Caribe

2 Este documento deve ser usado por aqueles estabelecimentos e prestadores de serviço que devem ter uma revisão on-site para validar o atendimento aos Padrões de Segurança de Dados da Indústria de Cartão de Pagamento (PCI) e para criar o Relatório de Cumprimento. Note que estas Exigências de Segurança de Dados da PCI são aplicadas a todos Membros, estabelecimentos e prestadores de serviço que armazenam, processam ou transmitem dados dos portadores de cartão. Adicionalmente, estas exigências de segurança se aplicam a todos os componentes do sistema os quais são definidos como qualquer componente de rede, servidor ou aplicação incluída ou conectada ao ambiente de dados dos portadores de cartão. Os componentes de redes incluem, mas não estão limitados a, firewalls, switches, routers, pontos de acesso wireless, dispositivos de rede e outros dispositivos de segurança. Os servidores incluem, mas não estão limitados a, web, banco de dados, autenticação, DNS, mail, proxy e NTP. Os aplicativos incluem todos os aplicativos adquiridos e customizados, incluindo tanto os aplicativos internos como os externos (web). Objetivo da Avaliação Para os prestadores de serviço que devem fazer uma revisão on-site anual, a avaliação do cumprimento deve ser executada em todos os componentes do sistema onde os dados dos portadores de cartão são processados, armazenados ou transmitidos, a menos que especificado de outra forma. Para os estabelecimentos que devem fazer uma revisão on-site anual, o objetivo da validação do cumprimento se concentra em qualquer sistema(s) ou componente(s) de sistema(s) relacionado(s) à autorização e liquidação, onde os dados dos portadores de cartão são processados, armazenados ou transmitidos, incluindo: Todas as conexões externas com a rede do estabelecimento (ex: acesso remoto do funcionário, empresa de cartão de pagamento, acesso por terceiros para processamento e manutenção). Todas as conexões de entrada e saída do ambiente de autorização e liquidação (ex: conexões para o acesso pelo funcionário ou para dispositivos tais como firewalls e routers) Qualquer dispositivo de armazenagem de dados fora do ambiente de autorização e liquidação onde mais de 500 mil números de contas estejam armazenados. Terminais de POS podem ser excluídos, entretanto: Se um ambiente de POS for baseado no IP e o acesso for externo, via Internet, wireless, VPN, dial-in, broadband, máquinas de acesso público (tais como quiosques), ou no local do estabelecimento, o ambiente de POS deve ser incluído no objetivo da revisão on-site. Se o ambiente de POS não for baseado no IP ou não houver acesso externo ao local do estabelecimento, inicie a revisão pela conexão no ambiente de autorização e liquidação. Nota: O ambiente de POS é o ambiente no qual a transação é feita no local do estabelecimento (ex: loja de varejo, restaurante, hotel, posto de gasolina, supermercado ou outro local de ponto de vendas). Um ambiente de POS com base no IP é aquele em que as transações são armazenadas, processadas ou transmitidas em sistemas baseados no IP ou sistemas comunicando via TCP/IP. Wireless Se for usada a tecnologia wireless para transmitir, processar ou armazenar os dados dos portadores de cartão (ex: transações de ponto de venda, line-busting, etc.), ou se uma LAN wireless estiver conectada em todo ou em parte do ambiente do portador de cartão (ex: não claramente separado por um firewall), as Exigências e Procedimentos de Teste para os ambientes wireless devem também ser executadas. A segurança do wireless ainda não amadureceu, mas estas 2005 Visa. All Rights Reserved. 2 Payment Card Industry Security Audit Procedures, Version 1.0

3 exigências especificam que as características básicas de segurança wireless sejam implementadas para oferecer um mínimo de proteção. Visto que as tecnologias wireless ainda não podem ser totalmente seguras, recomendamos que antes que a tecnologia wireless seja instalada, a empresa avalie cuidadosamente a necessidade da tecnologia contra o risco da sua utilização. Considere a instalação apenas para a transmissão de dados não confidenciais, ou espere para que a tecnologia se torne mais segura. Prestador de Serviço Externo Para aquelas entidades que contratam o processamento externo, transmitindo ou armazenando os dados dos portadores de cartão para os prestadores de serviço, o Relatório de Cumprimento deve documentar o papel desempenhado por cada prestador de serviço; entretanto, estes prestadores de serviço são responsáveis pela validação do seu próprio cumprimento do Padrão de Segurança de Dados - PCI independentemente dos seus clientes. Adicionalmente, os estabelecimentos e prestadores de serviço devem exigir contratualmente que todos os prestadores de serviço externos associados com acesso aos dados dos portadores de cartão cumpram com o Padrão de Segurança de Dados - PCI. Consulte a Exigência 12.8 neste documento para obter maiores detalhes. Amostragem O assessor pode selecionar uma amostra dos componentes do sistema para teste. A amostra deve ser uma seleção representativa de todos os tipos de componentes do sistema e incluem uma variedade de sistemas operacionais, funções e aplicativos conforme for o caso para a área a ser revisada. Por exemplo, o revisor pode escolher os servidores Sun rodando Apache WWW, servidores NT rodando Oracle, sistemas de mainframe rodando aplicativos legacy de processamento de cartão, servidores de transferência de dado rodando HP-UX, servidores Linux rodando MYSQL, etc. Se todos os aplicativos rodarem sob um único OS (ex: NT, Sun, etc.), então a amostra deve incluir uma variedade de aplicativos (ex: servidores de banco de dados, servidores web, servidores de transferência de dados, etc.). Consulte a primeira página deste documento sobre a definição de componentes do sistema. Relatório de Cumprimento Este documento deve ser usado como um modelo para criar um Relatório de Cumprimento. Adquirentes, estabelecimentos e prestadores de serviço devem atender a cada uma das exigências de relatório das respectivas empresas de cartão de pagamento para garantir que cada empresa de cartão reconheça o grau de cumprimento da entidade. Favor contatar cada empresa de cartão de pagamento para determinar a quem os resultados devem ser submetidos. Todos os assessores devem aplicar o seguinte conteúdo de relatório e formato ao completar o Relatório de Cumprimento (ROC): 1. Informação de Contato e Data do Relatório Inclui a informação de contato para o estabelecimento ou prestador de serviço e assessor. Data do relatório. 2. Resumo Executivo Inclui o seguinte: Descrição do negócio. Lista dos prestadores de serviço e outras entidades com as quais a empresa compartilha os dados dos portadores de cartão. Lista do relacionamento com processadores 2005 Visa. All Rights Reserved. 3 Payment Card Industry Security Audit Procedures, Version 1.0

4 Se a entidade está diretamente conectada à empresa de cartão de pagamento. Para os estabelecimentos, os produtos de POS usados. Qualquer entidade em que a empresa possua total controle acionário e que exija o cumprimento do Padrão de Segurança de Dados - PCI. Qualquer entidade internacional que exija o cumprimento do Padrão de Segurança de Dados - PCI. Qualquer LAN wireless e/ou Terminais de POS wireless conectados ao ambiente do portador de cartão. 3. Descrição do Objetivo do Trabalho e Abordagem a ser Tomada Versão dos documentos dos Procedimentos da Auditoria de Segurança usados para conduzir o levantamento. Prazo do levantamento. Ambiente no qual o levantamento se focaliza (ex: pontos de acesso à Internet pelo cliente, rede corporativa interna, pontos de processamento para a empresa de cartão de pagamento, etc.). Qualquer área excluída da revisão. Breve descrição ou esquema de alto nível da topologia da rede e controles. Lista dos entrevistados. Lista de hardware e software críticos (ex: banco de dados ou codificação) em uso. Para a revisão do Managed Service Provider (MSP), delinear claramente quais são as exigências deste documento que devem ser aplicadas ao MSP (e se encontram incluídas na revisão) e quais não se encontram incluídas na revisão e são responsabilidade dos clientes do MSP incluir em suas próprias revisões. Incluir a informação sobre qual dos endereços de IP do MSP são scanned como parte dos scans trimestrais de vulnerabilidade do MSP e quais endereços de IP são de responsabilidade dos clientes do MSP incluir em seus próprios scans trimestrais. 4. Resultados dos Scan Trimestrais Favor resumir os resultados dos 4 scans mais recentes nos comentários da Exigência 11.2 O scan deve cobrir todos os endereços de IP acessíveis externamente (Internet-facing) existentes na entidade. 5. Conclusões e Observações Todos assessores devem utilizar o modelo a seguir para prover um relatório com descrições detalhadas e conclusões sobre cada exigência e subexigência. Onde for aplicável, documente qualquer controle compensatório que demonstre que um controle apropriado encontra-se instalado. Consulte Definições na próxima página para obter maiores informações sobre os controles compensatórios. Revalidação de Itens em Aberto É exigido um relatório dos controles instalados (controls in place) para o cumprimento. Se um relatório inicial for emitido com itens em aberto, a entidade deve corrigir todos estes itens e o assessor deve reavaliar se a correção foi feita e atendeu a todas as exigências. Após a reavaliação, o assessor deve voltar a emitir um ROC de cumprimento, de acordo com as instruções acima Visa. All Rights Reserved. 4 Payment Card Industry Security Audit Procedures, Version 1.0

5 Definições Com relação aos Procedimentos da Auditoria de Segurança, as seguintes definições devem ser usadas: Exigências São as exigências do Padrão de Segurança de Dados - PCI através das quais um assessor avalia o cumprimento pela entidade. Controles Compensatórios Controles instalados como alternativas aos controles definidos nas colunas de Exigências. Estes controles devem também ser examinados pelo assessor, e, na opinião do assessores, devem atender totalmente à intenção e rigor da exigência original. Os controles compensatórios devem estar acima e além das outras exigências da PCI não é considerado como controle compensatório estar simplesmente cumprindo outras exigências deste documento. Procedimentos de Teste Instalados Não Instalados Data Alvo / Comentários São os processos a serem seguidos pelo assessor para atender as exigências individuais e considerações de teste. Estes procedimentos de teste enumeram os controles detalhados que o assessor deve encontrar instalado para atender às exigências. Onde estes controles detalhados não estiverem presentes exatamente como descrito, ou não puderam ser instalados por razões técnicas ou outras quaisquer, o assessor deve examinar os controles compensatórios. Favor dar uma breve descrição dos controles instalados, incluindo aqueles controles considerados como instalados em função dos controles compensatórios. Favor dar uma breve descrição dos controles que não se encontram instalados. Se a exigência for Não Aplicável (N/A), favor explicar. Para aqueles controles Não Instalados incluir uma data alvo em que a entidade espera ter os controles Instalados. Qualquer nota adicional ou comentários pode também ser incluídas aqui Visa. All Rights Reserved. 5 Payment Card Industry Security Audit Procedures, Version 1.0

6 Construa e Mantenha Uma Rede Segura Exigência 1: Instale e mantenha uma configuração de firewall para proteger os dados. Os firewalls são dispositivos que controlam o tráfego admitido na rede da empresa via computador, bem como o tráfego nas áreas mais críticas dentro da rede interna da empresa. Todos os sistemas devem ser protegidos contra o acesso não autorizado através da Internet, seja ele via e-commerce, acesso dos funcionários com base na Internet e via desktop browsers ou acesso via de funcionários. Geralmente, os caminhos aparentemente insignificantes para entrar e sair da Internet podem propiciar um acesso desprotegido a sistemas importantes. O firewall é o principal mecanismo de proteção de qualquer rede de computador. 1.1 Estabeleça um padrão de configuração de firewall que inclua: Um processo formal de aprovação e teste de todas as conexões externas e mudanças na configuração do firewall Um diagrama atualizado da rede com todas as conexões que levem aos dados do portador de cartão, incluindo qualquer rede wireless Exigências para um firewall em cada conexão com a Internet e entre qualquer DMZ e a Intranet Descrição dos grupos, tarefas e responsabilidades para a administração lógica dos componentes da rede Lista documentada dos serviços/ports necessários para o negócio Justificação e documentação de qualquer outro protocolo disponível além 1.1 Obtenha e inspecione os padrões da configuração do firewall e outras documentações especificadas abaixo para obter evidência de que os padrões estão completos. Também obtenha uma cópia da seguinte documentação: Obtenha e examine os padrões da configuração do firewall e verifique se encontra-se instalado um processo formal para todas as mudanças, incluindo a aprovação da administração e teste para todas as mudanças nas conexões externas da rede e configuração do firewall Obtenha e examine o diagrama atualizado da rede e verifique se ele documenta todas as conexões para os dados dos portadores de cartão, incluindo quaisquer redes wireless e que ele seja mantido atualizado Obtenha um diagrama atualizado da rede e examine para verificar se existe um firewall em cada conexão com a Internet e entre qualquer DMZ e a Intranet Verifique se os padrões da configuração do firewall incluem a descrição dos grupos, finalidade e responsabilidades para a administração lógica dos componentes de redes Verifique se os padrões da configuração do firewall incluem uma lista documentando os serviços/ports necessários para o negócio Verifique se os padrões da configuração do firewall incluem uma justificação e documentação para quaisquer protocolos disponíveis além do HTTP e SSL, SSH e 2005 Visa. All Rights Reserved. 6 Payment Card Industry Security Audit Procedures, Version 1.0

7 Construa e Mantenha Uma Rede Segura do HTTP, SSL, SSH e VPN Justificativa e documentação de quaisquer protocolos de riscos permitidos (FTP, etc.), que inclua a razão para o uso do protocolo e características de segurança implementada Revisão periódica dos conjuntos de regras para o firewall/router Padrão de configuração para os routers. 1.2 Construa uma configuração de firewall que não permita qualquer tráfego advindo das redes/hosts, não confiáveis, com exceção de: Protocolos da web - HTTP (port 80) e Secure Sockets Layer (SSL) (geralmente port 443) Protocolos de administração de sistema (ex: Secure Shell (SSH) ou Virtual Private Netwok (VPN) Outros protocolos requeridos pelo negócio (ex: para o ISO 8583). 1.3 Construa uma configuração de firewall que restrinja às conexões VPN Verifique se os padrões da configuração do firewall incluem uma justificativa e documentação para quaisquer protocolos de riscos permitidos (ex: FTP), que inclua a razão para o uso do protocolo e características de segurança implementadas. Examine a documentação e configuração de cada serviço em uso e obtenha uma evidência de que o serviço é necessário e seguro Verifique se os padrões de configuração do firewall exigem uma revisão periódica do conjunto de regras do firewall/router. Obtenha evidência de que o conjunto de regras é revisado periodicamente Verifique se os padrões de configuração do firewall incluem tanto os firewalls como os routers. 1.2 Escolha uma amostra do (insira o tamanho da amostra) firewalls/routers. 1) entre a Internet e a DMZ e 2) entre a DMZ e as redes internas. A amostra deve incluir o choke router na Internet, o router da DMZ e firewall, a DMZ do segmento do portador de cartão, o perimeter router e o segmento interno da rede do portador de cartão. Examine as configurações do firewall e router e verifique se o tráfego de entrada e saída encontra-se limitado a: Protocolos da web (HTTP, HTTPS) Métodos de administração do sistema e acesso remoto (VPN, SSH) Outros tráfegos exigidos pelo negócio e documentados na política do firewall. 1.3 Examine as configurações do firewall/router para verificar se as conexões estão restritas entre os servidores 2005 Visa. All Rights Reserved. 7 Payment Card Industry Security Audit Procedures, Version 1.0

8 Construa e Mantenha Uma Rede Segura entre os servidores de acesso público e qualquer componente do sistema que armazene os dados do portador de cartão, incluindo quaisquer conexões de redes wireless. Esta configuração de firewall deve incluir: Restrição ao tráfego de entrada da Internet aos endereços de IP dentro da DMZ (filtros de ingresso) Restrição do tráfego da Internet de entrada e saída nos ports 80 e Não permita que os endereços internos passem da Internet para a DMZ (filtros de ingresso) Inspeção stateful, também conhecida como dynamic packet filtering (são apenas permitidas as conexões instaladas nesta rede) Colocação do banco de dados em uma zona interna da rede, separada da DMZ Restrição do tráfego de saída apenas para o que for necessário ao ambiente de cartões de pagamento. de acesso público e os componentes de armazenagem de dados dos portadores de cartão, como a seguir: Determine se o tráfego de entrada da Internet encontra-se limitado aos endereços de IP dentro da DMZ. (filtros de ingresso) Determine que o tráfego de entrada e saída da Internet encontre-se limitado nos ports 80 e Determine que os endereços internos não possam migrar da Internet para a DMZ. (filtros de ingresso) Determine que o firewall execute uma inspeção stateful (dynamic packet filtering). (Apenas as conexões instaladas devem ser permitidas e apenas se elas estiverem associadas com uma sessão estabelecida previamente (rode NMAP em todos os ports TCP e UDP com syn reset ou syn ack bits ajustado uma resposta significa que os packets são admitidos mesmo que eles não sejam parte de uma sessão previamente estabelecida)) Determine que o banco de dados encontre-se em uma zona interna da rede, separado da DMZ Determine que o tráfego de saída encontre-se limitado ao estritamente necessário e documentado para o ambiente do portador de cartão Arquivos de configuração Determine que os arquivos de configuração do 2005 Visa. All Rights Reserved. 8 Payment Card Industry Security Audit Procedures, Version 1.0

9 Construa e Mantenha Uma Rede Segura de router seguros e sincronizados (ex: arquivos de configuração de execução usados para o funcionamento normal dos routers e arquivos de configuração de partida usados quando as máquinas são religadas, devem possuir a mesma configuração segura) Bloqueio de qualquer outro tráfego de entrada e saída que não seja especificamente permitido Instalação de um perímetro de firewalls entre quaisquer redes wireless e as redes e o ambiente de cartões de pagamento e configuração destes firewalls para bloquear ou controlar (se tal tráfego for necessário para o objetivo do negócio) qualquer tráfego do ambiente wireless Instalação de um software de firewall individual em qualquer dispositivo portátil e/ou computador de propriedade do funcionário que possua conexão direta com a Internet (ex: laptops usados pelos funcionários), os quais sejam usados para o acesso à rede da organização. router encontrem-se seguros e sincronizados. (ex: se os arquivos de configuração executados - usados para a execução dos routers e arquivos de configuração de inicialização - usados quando as máquinas são religadas, possuem a mesma configuração de segurança) Determine que todos os outros tráfegos de entrada e saída não cobertos no item acima estejam especificamente bloqueados Determine que existam firewalls de perímetro instalados entre quaisquer redes wireless e sistemas que armazenem os dados dos portadores de cartão e que estes firewalls bloqueiem ou controlem (se tais tráfegos são necessários para o objetivo do negócio) qualquer tráfego do ambiente wireless para os sistemas que armazenam os dados dos portadores de cartão Verifique se os dispositivos portáteis e/ou computadores de propriedade do funcionário com conexão direta à Internet (ex: laptops usados pelos funcionários) e que são usados para o acesso à rede da organização, possuem um software de firewall pessoal e ativado, o qual é configurado pela organização dentro de padrões específicos e não alteráveis pelo funcionário. 1.4 Proíba o acesso público direto entre as redes externas e qualquer componente do sistema de 1.4 Para determinar se o acesso direto entre as redes externas públicas e os componentes de armazenamento dos dados dos portadores de cartão está proibido, execute o 2005 Visa. All Rights Reserved. 9 Payment Card Industry Security Audit Procedures, Version 1.0

10 Construa e Mantenha Uma Rede Segura armazenagem da informação do portador de cartão (ex: banco de dados) Implementação de uma DMZ para filtrar e verificar todo o tráfego e para bloquear qualquer rota direta para a entrada e saída do tráfego da Internet Restrição do tráfego de saída dos aplicativos de cartões de pagamento para os endereços de IP dentro da DMZ. 1.5 Implemente o Internet Protocol (IP) disfarçado de forma a impedir que os endereços internos sejam traduzidos e revelados na Internet. Use tecnologias que implementem o espaço de endereço RFC 1918, tais como Port Address Translation (PAT) ou Network Address Translation (NAT). seguinte, especificamente para a implementação da configuração do firewall/router entre a DMZ e as redes internas: Examine as configurações do firewall/router e determine que não exista qualquer rota direta de entrada e saída para o tráfego da Internet Examine as configurações do firewall/router e determine que o tráfego interno de saída dos aplicativos do portador de cartão possa apenas acessar os endereços de IP dentro da DMZ. 1.5 Para os componentes de firewall/router acima, verificar que NAT ou outra tecnologia usando o espaço de endereço RFC 1918 seja usada para restringir a transmissão dos endereços de IP da rede interna para a Internet (disfarce de IP). Exigência 2: Não use as senhas padrão de sistema e parâmetros de segurança fornecidos pelos prestadores de serviços. Hackers (externos e internos à empresa) geralmente usam as senhas padrão dos prestadores de serviços e outros parâmetros padrão para comprometer os sistemas. Estas senhas e parâmetros são bastante conhecidos nas comunidades de hackers e facilmente obtidas através de informações públicas. 2.1 Troque sempre os padrões estabelecidos pelo prestador de serviço antes da instalação de um sistema na rede (ex: senhas, SNMP community strings e eliminação de contas desnecessárias). 2.1 Use a amostra dos componentes do sistema e tente se conectar (com a ajuda do administrador do sistema) aos dispositivos usando as contas e senhas padrão fornecidas pelo fornecedor/prestador de serviço, para verificar se as mesmas foram mudadas. (Use os manuais do fornecedor e fontes na Internet para encontrar as contas e senhas dos fornecedores/prestadores de serviço) Visa. All Rights Reserved. 10 Payment Card Industry Security Audit Procedures, Version 1.0

11 Construa e Mantenha Uma Rede Segura Nos ambientes wireless, mudar os padrões de wireless do prestador de serviço, incluindo, mas não limitado a, chaves WEP, padrão SSID, senhas e SNMP community strings e desativação da transmissão de SSID. Ativar a tecnologia de Wi-Fi Protected Access (WPA) para a codificação e autenticação quando for capacitado a operar a WPA. 2.2 Desenvolva uma configuração padrão para todos os componentes do sistema. Certifique-se de que estes padrões atendam a todas as vulnerabilidades conhecidas e às melhores práticas da indústria Implemente apenas uma função principal por servidor (ex: servidores da web, servidores de banco de dados e DNS devem ser implementados em servidores separados) Verifique o seguinte com relação aos parâmetros padrões do fornecedor para os ambientes wireless: Que as chaves WEP foram mudadas do padrão no momento da instalação e são mudadas a qualquer momento sempre que alguém com conhecimento das chaves deixa a empresa ou muda de função. Que a SSID foi modificada Que a transmissão da SSID foi desativada Que os padrões SNMP community strings nos pontos de acesso foram mudados Que as senhas padrão nos pontos de acesso foram mudadas. Que a tecnologia WPA foi ativada se o sistema wireless suportar WPA. Outros padrões de segurança de fornecedores de wireless se forem aplicável. 2.2.a Examine os padrões de configuração do sistema da organização para os componentes de redes e servidores críticos, incluindo quaisquer pontos de acesso wireless e verifique se cada item abaixo está incluído no padrão. 2.2.b Adicionalmente determine se cada item abaixo faz parte do processo quando os novos sistemas são configurados Apenas uma função primária é implementada por servidor Visa. All Rights Reserved. 11 Payment Card Industry Security Audit Procedures, Version 1.0

12 Construa e Mantenha Uma Rede Segura Desative todos os serviços e protocolos sem segurança e desnecessários (serviços e protocolos não diretamente necessários para executar a função específica do dispositivo) Configure os parâmetros de segurança do sistema para prevenir o uso incorreto Remova todas as funcionalidades desnecessárias, tais como scripts, drivers, características, sub-sistemas, sistemas de arquivo (ex: servidores de web desnecessários) Obtenha e inspecione os serviços ativos do sistema, daemons e protocolos da amostra (insira um número e/ou descrição da amostra). Verifique se os serviços ou protocolos desnecessários ou sem segurança não se encontram ativados e que qualquer um que seja potencialmente perigoso esteja justificado e documentado como um uso apropriado do serviço (ex: FTP não é usado ou é codificado via SSH ou outra tecnologia) a Entreviste os administradores do sistema e/ou gerentes de segurança para determinar se eles possuem o conhecimento das configurações dos parâmetros de segurança comuns dos seus sistemas operacionais, servidores de banco de dados, servidores da web e sistemas wireless b Verifique se os parâmetros comuns de segurança estão incluídos nos padrões de configuração do sistema c Selecione uma amostra de (insira um número e/ou descrição da amostra) todos os componentes do sistema, do banco de dados e servidores críticos (incluindo wireless) e verifique se os parâmetros comuns de segurança estão configurados apropriadamente Obtenha e inspecione os arquivos do sistema e determine se todas as funções desnecessárias (ex: drivers, características, sub-sistemas, sistemas de arquivo, etc.) foram removidos. Também verifique se as funções habilitadas estão documentadas, suportam uma configuração de segurança e são as únicas presentes nas máquinas da amostra Visa. All Rights Reserved. 12 Payment Card Industry Security Audit Procedures, Version 1.0

13 Construa e Mantenha Uma Rede Segura 2.3 Codifique todo o acesso administrativo que não seja via teclado. Use tecnologias tais como SSH, VPN, ou SSL/TLS para a administração baseada na web e outro acesso administrativo via unidade de teclado. 2.3 Da amostra dos (insira um número e/ou descrição da amostra) componentes do sistema, verifique se um acesso administrativo que não seja via teclado esteja codificado, por intermédio da: Observação de um log de administrador em cada amostragem do sistema para determinar se SSH (ou outro método de codificação) é invocado antes que a senha do administrador seja solicitada. Revisão dos arquivos de serviço e parâmetros nas amostras do sistema para determinar se Telnet ou outros comandos remotos de login não se encontram disponíveis para o uso interno. Verificação de que o acesso do administrador à interface de administração wireless esteja codificado com SSL/TLS. Alternativamente, verificar se os administradores não podem se conectar remotamente à interface de administração wireless (toda a administração do ambientes wireless é feita apenas através do console) Visa. All Rights Reserved. 13 Payment Card Industry Security Audit Procedures, Version 1.0

14 Proteja os Dados do Portador de Cartão Exigência 3: Proteja os Dados Armazenados A codificação é o mecanismo que oferece a máxima proteção porque mesmo que alguém consiga ter acesso ao dado codificado, este não será capaz de ler o dado sem antes descobrir a chave do código. Isto é uma demonstração do princípio de defesa total. 3.1 Mantenha a informação armazenada do portador de cartão em um tamanho mínimo. Desenvolva uma política de retenção e destruição de dados. Limite o tempo e a quantidade de dados retidos exclusivamente para o que é necessário ao negócio e com propósitos legais e/ou regulamentares, conforme documentado no regulamento de retenção de dados. 3.1 Obtenha as políticas e procedimentos da empresa referentes à retenção e destruição de dados e certifique-se se estas políticas e procedimentos incluem: As exigências legais, regulatórias e do negócio em termos da retenção de dados, incluindo as exigências específicas para a retenção dos dados dos portadores de cartão (ex: os dados dos portadores de cartão devem ser retidos por um período X por razões de negócio Y). A disposição do dado quando não mais necessário por razão legal, regulatória ou de negócio, incluindo a disposição dos dados dos portadores de cartão. Uma cobertura sobre toda a armazenagem dos dados dos portadores de cartão, incluindo os servidores do banco de dados, mainframes, transferência de diretórios e cópia em massa dos diretórios usados para transferir dados entre servidores e diretórios usados para normalizar o dado entre as transferências de servidor. Um processo programático (automático) para remover, pelo menos em bases trimestrais, os dados dos portadores de cartão armazenados que excedem as exigências de retenção do negócio. Alternativamente, a realização de uma auditoria, pelo menos trimestralmente, para verificar se os dados armazenados dos portadores de cartão não ultrapassam as exigências de retenção do negócio Visa. All Rights Reserved. 14 Payment Card Industry Security Audit Procedures, Version 1.0

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos de Auditoria de Segurança Versão 1.1 Distribuição: Setembro de 2006 Índice Procedimentos de Auditoria de Segurança...

Leia mais

Indústria de Cartões de Pagamento (PCI)

Indústria de Cartões de Pagamento (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Administração de Risco Região América Latina e Caribe Indústria de Cartões de Pagamento Padrão de Segurança de Dados Construa e Mantenha

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Setor de cartões de pagamento (PCI) Padrão de segurança de dados Requisitos e procedimentos de avaliação da segurança Versão 1.2 Outubro de 2008 Índice Introdução e visão geral do padrão de segurança de

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Aplicativo de pagamento conectado à Internet, sem armazenamento eletrônico dos

Leia mais

Navegando o PCI DSS. Entendendo as Razões das Exigências

Navegando o PCI DSS. Entendendo as Razões das Exigências Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Navegando o PCI DSS Entendendo as Razões das Exigências Versão 1.1 Fevereiro de 2008 Índice Introdução...

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros SAQs - Comerciantes e prestadores de serviços qualificados Versão

Leia mais

ANEXO C (Requisitos PCI DSS)

ANEXO C (Requisitos PCI DSS) ANEXO C (Requisitos ) O Cliente obriga-se a respeitar e a fazer respeitar as normas que lhes sejam aplicáveis, emanadas do Payment Card Industry Security Standards Council (organização fundada pelas marcas

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros SAQs - Comerciantes e prestadores de serviços qualificados Versão

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros comerciantes e prestadores de serviço qualificados pelo SAQ

Leia mais

Indústria de cartões de pagamento (PCI) Requisitos e procedimentos da avaliação de segurança Versão 3.0

Indústria de cartões de pagamento (PCI) Requisitos e procedimentos da avaliação de segurança Versão 3.0 Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Requisitos e procedimentos da avaliação de segurança Versão 3.0 Novembro de 2013 Alterações no documento Data Versão Descrição Páginas

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade Comerciantes com terminais independentes de ponto de interação (POI) PTS

Leia mais

Prestadores de serviço elegíveis a SAQ. Versão 3.0

Prestadores de serviço elegíveis a SAQ. Versão 3.0 Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação de A de conformidade para Prestadores de serviço Prestadores de serviço elegíveis a SAQ Versão 3.0 Fevereiro

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade Comerciantes com terminais virtuais de pagamento baseados na Web Sem armazenamento

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade Somente máquinas de carbono ou terminais de discagem independentes, sem armazenamento

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de Conformidade para Avaliações in loco Comerciantes Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de conformidade para Avaliações in loco Prestadores de serviços Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS

Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS Alterações no documento Data Versão Descrição 1 de outubro de 2008 1.2 Alinhar o conteúdo com o novo PCI DSS

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade Todas as outras funções dos dados do titular do cartão terceirizadas Sem armazenamento

Leia mais

GUIA DE BOAS PRÁTICAS DE SEGURANÇA PARA E-COMMERCE

GUIA DE BOAS PRÁTICAS DE SEGURANÇA PARA E-COMMERCE GUIA DE BOAS PRÁTICAS DE SEGURANÇA PARA E-COMMERCE PREZADO CLIENTE Realizar negócios através da Internet é uma alternativa de alto valor estratégico para os empresários que optaram por investir neste segmento.

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Região Introdução...3 Reportando a Quebra de Segurança...4 Passos e Exigências para as Entidades Comprometidas...5 Passos e Exigências

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

Conhecer a intenção dos requisitos

Conhecer a intenção dos requisitos Indústria de cartões de débito (PCI - Payment Card Industry) Padrão de segurança dos dados Navegando pelo PCI DSS Conhecer a intenção dos requisitos Versão 2.0 Outubro de 2010 Alterações no documento Data

Leia mais

Componentes de um sistema de firewall - I

Componentes de um sistema de firewall - I Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Setor de cartões de pagamento (PCI) Padrão de segurança de ds Requisitos e procedimentos de avaliação da segurança Versão 2.0 Outubro de 2010 Alterações no documento Versão Descrição Páginas Outubro de

Leia mais

ESPECIFICAÇÕES TÉCNICAS DA CLICKSIGN

ESPECIFICAÇÕES TÉCNICAS DA CLICKSIGN Data efetiva: 14 de abril de 2014. ESPECIFICAÇÕES TÉCNICAS DA CLICKSIGN Estas Especificações Técnicas contém informações sobre procedimentos operacionais e de segurança do Site, bem como sobre suas responsabilidades

Leia mais

Baseline de Segurança da Informação

Baseline de Segurança da Informação Diretoria de Segurança Corporativa Superintendência de Segurança da Informação Baseline de Segurança da Informação Avaliação de Fornecedor E-mail Marketing SUMÁRIO: 1. SEGURANÇA DA REDE:... 3 2. PATCHES

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Serviços Remotos Xerox Um passo na direção certa

Serviços Remotos Xerox Um passo na direção certa Serviços Remotos Xerox Um passo na direção certa Diagnóstico de problemas Avaliação dos dados da máquina Pesquisa de defeitos Segurança garantida do cliente 701P41699 Visão geral dos Serviços Remotos Sobre

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Questionário de Auto-avaliação

Questionário de Auto-avaliação Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Questionário de Auto-avaliação Instruções e Diretrizes Versão 1.1 Fevereiro de 2008 Índice Sobre este Documento...

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE E TECNOLOGIA DA NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT 1/10 CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE E TECNOLOGIA

Leia mais

Visão geral do printeract, Serviços Remotos Xerox

Visão geral do printeract, Serviços Remotos Xerox Visão geral do printeract, Serviços Remotos Xerox 701P28680 Visão geral do printeract, Serviços Remotos Xerox Um passo na direção certa Diagnósticos de problemas Avaliação dos dados da máquina Pesquisa

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Atestado de conformidade para questionário de autoavaliação P2PE-HW Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções

Leia mais

Requisitos de proteção de dados do fornecedor Critérios de avaliação

Requisitos de proteção de dados do fornecedor Critérios de avaliação Requisitos de proteção de dados do fornecedor Critérios de avaliação Aplicabilidade Os requisitos de proteção de dados do fornecedor da (DPR) são aplicáveis a todos os fornecedores da que coletam, usam,

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 09 Tema:

Leia mais

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software Avaliação de riscos em fornecedores Manual de controles de segurança da informação para Fábricas de Software DSC Diretoria de segurança corporativa SSI Superintendência de Segurança da Informação 1 Índice

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação Diretrizes e instruções Versão 2.0 Outubro de 2010 Alterações no documento Data Versão Descrição 1º de outubro

Leia mais

FIREWALL, PROXY & VPN

FIREWALL, PROXY & VPN 1 de 5 Firewall-Proxy D O C U M E N T A Ç Ã O C O M E R C I A L FIREWALL, PROXY & VPN :: MANTENDO O FOCO NO SEU NEGÓCIO :: Se o foco do seu negócio não é tecnologia, instalar e manter por conta própria

Leia mais

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO ::

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO :: 1 de 5 Firewall-Proxy-V4 D O C U M E N T A Ç Ã O C O M E R C I A L FIREWALL, PROXY, MSN :: MANTENDO O FOCO NO SEU NEGÓCIO :: Se o foco do seu negócio não é tecnologia, instalar e manter por conta própria

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Sérgio Cabrera Professor Informática 1

Sérgio Cabrera Professor Informática 1 1. A tecnologia que utiliza uma rede pública, como a Internet, em substituição às linhas privadas para implementar redes corporativas é denominada. (A) VPN. (B) LAN. (C) 1OBaseT. (D) 1OBase2. (E) 100BaseT.

Leia mais

Componentes de um sistema de firewall - II. Segurança de redes

Componentes de um sistema de firewall - II. Segurança de redes Componentes de um sistema de firewall - II Segurança de redes O que são Bastion Hosts? Bastion host é o nome dado a um tipo especial de computador que tem funções críticas de segurança dentro da rede e

Leia mais

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft CPE Soft Manual 125/400mW 2.4GHz CPE Soft Campinas - SP 2010 Indice 1.1 Acessando as configurações. 2 1.2 Opções de configuração... 3 1.3 Wireless... 4 1.4 TCP/IP 5 1.5 Firewall 6 7 1.6 Sistema 8 1.7 Assistente...

Leia mais

genérico proteção de rede filtragem dos pacotes Sem estado (stateless) no próprio pacote. Com estado (stateful) outros pacotes

genérico proteção de rede filtragem dos pacotes Sem estado (stateless) no próprio pacote. Com estado (stateful) outros pacotes FIREWALLS Firewalls Definição: Termo genérico utilizado para designar um tipo de proteção de rede que restringe o acesso a certos serviços de um computador ou rede de computadores pela filtragem dos pacotes

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e regulamentares, e tendo em vista o que consta do Processo

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Cap. 2: Políticas de Segurança e Respostas Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Estar derrotado é sempre uma condição temporária. Desistir é o que o torna

Leia mais

Guia do Usuário Administrativo Bomgar 10.2 Enterprise

Guia do Usuário Administrativo Bomgar 10.2 Enterprise Guia do Usuário Administrativo Bomgar 10.2 Enterprise Índice Introdução 2 Interface administrativa 2 Status 2 Minha conta 3 Opções 3 Equipes de suporte 4 Jumpoint 5 Jump Clients 6 Bomgar Button 6 Mensagens

Leia mais

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões

Leia mais

Nível de segurança de uma VPN

Nível de segurança de uma VPN VPN Virtual Private Network (VPN) é uma conexão segura baseada em criptografia O objetivo é transportar informação sensível através de uma rede insegura (Internet) VPNs combinam tecnologias de criptografia,

Leia mais

Firewalls. Firewalls

Firewalls. Firewalls Firewalls Firewalls Paredes Corta-Fogo Regula o Fluxo de Tráfego entre as redes Pacote1 INTERNET Pacote2 INTERNET Pacote3 Firewalls Firewalls Barreira de Comunicação entre duas redes Host, roteador, PC

Leia mais

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas

Leia mais

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF REDES ESAF 01 - (ESAF - Auditor-Fiscal da Previdência Social - AFPS - 2002) Um protocolo é um conjunto de regras e convenções precisamente definidas que possibilitam a comunicação através de uma rede.

Leia mais

Roteador Wireless 150Mbps 4 Portas

Roteador Wireless 150Mbps 4 Portas Roteador Wireless 150Mbps 4 Portas Manual do Usuário Você acaba de adquirir um produto Leadership, testado e aprovado por diversos consumidores em todo Brasil. Neste manual estão contidas todas as informações

Leia mais

Política de segurança de rede: White Paper de práticas recomendadas

Política de segurança de rede: White Paper de práticas recomendadas Política de segurança de : White Paper de práticas recomendadas Índice Introdução Preparação Criar declarações de política de uso Realizar uma análise de risco Estabelecer uma Estrutura de Equipe de Segurança

Leia mais

Product Architecture. Product Architecture. Aranda 360 ENDPOINT SECURITY. Conteúdos STANDARD & ENTERPRISE EDITION

Product Architecture. Product Architecture. Aranda 360 ENDPOINT SECURITY. Conteúdos STANDARD & ENTERPRISE EDITION Conteúdos Product Architecture Product Architecture Introdução Ambiente RedesdeTrabalho Configurações Políticas Servidores Componentes Agente Servidor Base de Dados Console Comunicação Console Servidor

Leia mais

Controlando o tráfego de saída no firewall Netdeep

Controlando o tráfego de saída no firewall Netdeep Controlando o tráfego de saída no firewall Netdeep 1. Introdução Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é

Leia mais

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network Segurança e Auditoria de Sistemas Segurança de Redes VPN - Virtual Private Network Prof. Me Willians Bueno williansbueno@gmail.com UNIFEB/2013 INTRODUÇÃO; ROTEIRO APLICAÇÕES; VANTAGENS; CARACTERÍSTICAS;

Leia mais

Laboratório Configuração de um Roteador e um Cliente Sem Fio

Laboratório Configuração de um Roteador e um Cliente Sem Fio Topologia Configurações do Roteador Linksys Nome da Rede (SSID) Senha da rede Senha do Roteador CCNA-Net cisconet cisco123 Objetivos Parte 1: Configurar Definições Básicas em um Roteador da Série Linksys

Leia mais

Melhores práticas de segurança da AWS Janeiro de 2011

Melhores práticas de segurança da AWS Janeiro de 2011 Melhores práticas de segurança da AWS Janeiro de 2011 Este documento é um trecho do whitepaper Projetando para a nuvem: whitepaper sobre as melhores práticas (http://media.amazonwebservices.com/aws_cloud_best_practices.pdf)

Leia mais

Manual de Transferência de Arquivos

Manual de Transferência de Arquivos O Manual de Transferência de Arquivos apresenta a ferramenta WebEDI que será utilizada entre FGC/IMS e as Instituições Financeiras para troca de arquivos. Manual de Transferência de Arquivos WebEDI Versão

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

SEGURANÇA E CONTROLE DE ACESSO

SEGURANÇA E CONTROLE DE ACESSO SEGURANÇA E CONTROLE DE ACESSO Produzido por: Professor Elber professorelber@gmail.com AULA 01 -FIREWALL - O QUE É FIREWALL? A palavra firewall tem estado cada vez mais comum no nosso cotidiano, ainda

Leia mais

PRIMEIROS PASSOS NO CRACKIT MEDIUM VERSION

PRIMEIROS PASSOS NO CRACKIT MEDIUM VERSION PRIMEIROS PASSOS NO CRACKIT MEDIUM VERSION Parabéns por instalar o CRACKIT MV! Agora chegou a hora de configurá-lo e administrá-lo. Todo o ambiente de administração do CRACKIT MV é web, ou seja via Browser

Leia mais

Política de uso de dados

Política de uso de dados Política de uso de dados A política de dados ajudará você a entender como funciona as informações completadas na sua área Minhas Festas. I. Informações que recebemos e como são usadas Suas informações

Leia mais

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br Segurança de Redes Firewall Filipe Raulino filipe.raulino@ifrn.edu.br Introdução! O firewall é uma combinação de hardware e software que isola a rede local de uma organização da internet; Com ele é possível

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível Versão 1.0 Janeiro de 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX e XEROX e Design são marcas da Xerox Corporation nos Estados Unidos e/ou em outros países. São feitas alterações periodicamente

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

Instruções de operação Guia de segurança

Instruções de operação Guia de segurança Instruções de operação Guia de segurança Para um uso seguro e correto, certifique-se de ler as Informações de segurança em 'Leia isto primeiro' antes de usar o equipamento. CONTEÚDO 1. Instruções iniciais

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 4 Introdução aos Sistemas Biométricos 1. Identificação, Autenticação e Controle

Leia mais

Administração de Sistemas Operacionais

Administração de Sistemas Operacionais Diretoria de Educação e Tecnologia da Informação Análise e Desenvolvimento de Sistemas INSTITUTO FEDERAL RIO GRANDE DO NORTE Administração de Sistemas Operacionais Serviço Proxy - SQUID Prof. Bruno Pereira

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

Seu manual do usuário BLACKBERRY INTERNET SERVICE http://pt.yourpdfguides.com/dref/1117388

Seu manual do usuário BLACKBERRY INTERNET SERVICE http://pt.yourpdfguides.com/dref/1117388 Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para BLACKBERRY INTERNET SERVICE. Você vai encontrar as respostas a todas suas perguntas sobre a

Leia mais

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação:

Leia mais

Kaspersky Endpoint Security e o gerenciamento. Migração e novidades

Kaspersky Endpoint Security e o gerenciamento. Migração e novidades Kaspersky Endpoint Security e o gerenciamento. Migração e novidades Treinamento técnico KL 202.10 Treinamento técnico KL 202.10 Kaspersky Endpoint Security e o gerenciamento. Migração e novidades Migração

Leia mais

Redes de Computadores

Redes de Computadores 8. Segurança de Rede DIN/CTC/UEM 2008 : o que é? Dispositivo que permite conectividade segura entre redes (interna e externa) com vários graus de confiabilidade Utilizado para implementar e impor as regras

Leia mais

Especificação de Referência Roteador Sem Fio (Wireless)

Especificação de Referência Roteador Sem Fio (Wireless) 1 Especificação de Referência Roteador Sem Fio (Wireless) Código do Objeto Descrição do Objeto Aplicação do Objeto Data da Especificação de Referência Validade da Especificação de Referência AC0000049

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais